【正文】 CISA難點之三 知識掌握的廣度與深度 l 對于從事審計相關(guān)工作的，對風(fēng)險與控制的把握不會存在問題，準備的重點可放在知識面上，主要是理解概念及其應(yīng)用，具體來講就是概念及主要特點、實際應(yīng)用中的優(yōu)缺點、存在的主要風(fēng)險及控制手段、相應(yīng)的審計方法或步驟等等，尤其應(yīng)當(dāng)注意審計的第一個步驟，對于技術(shù)細節(jié)則不必理解太深。 信息安全治理應(yīng)當(dāng)有信息安全戰(zhàn)略、政策和組織結(jié)構(gòu)來實行和支 持。信息技術(shù)戰(zhàn)略、計劃和預(yù)算 安全政策文檔 組織/職能圖 工作描述 指導(dǎo)委員會報告 系統(tǒng)開發(fā)和程序變更流程 操作程序 人力資源手冊 質(zhì)量保證程序 216。 缺乏持續(xù)性計劃 216。數(shù)據(jù)訪問控制（物理層、系統(tǒng)層及應(yīng)用層，職責(zé)分離和最小授權(quán)原則） 216。 績效優(yōu)化是由績效指標推動的過程，這些指標是基于組織業(yè)務(wù)活動和流程的復(fù)雜性、戰(zhàn)略性 的IT解決方案以及公司實施IT的主要戰(zhàn)略目標來確定的。 建立IT用戶的記費機制（chargeback ）可以提高應(yīng)用水平、監(jiān)督信息系統(tǒng)費用和可用資源。應(yīng)當(dāng)通過用戶訪談和調(diào)查來監(jiān)督用戶滿意度。 外包治理能支持建立并保持競爭和市場優(yōu)勢，有效地應(yīng)對競爭和市場環(huán)境的變化。SAS70也為外部審計師對使用服務(wù)機構(gòu)的實體實施財務(wù)報告 審計提供指南。持續(xù)運營– 業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)計劃可能不充分并且未經(jīng)測試 216。解聘政策 l 組織為獲得IT功能支持業(yè)務(wù),采購與配備資源方式有: ? 內(nèi)包型(Insourced)—IT功能全部由組織中的員工實現(xiàn)； ?外包型(Outsourced) —IT功能全部由外商服務(wù)供應(yīng)商提供； ?混和型(Hybrid) —IT功能由組織中的員工及外部服務(wù)商共同提供。主要內(nèi)容有： 216。定性方法 ?定性的風(fēng)險管理方法是最簡單并且最常見的方法，它們一般基于問卷式的檢查列表(Checklist)和主觀式的風(fēng)險定級。 第二步：為風(fēng)險管理計劃分配職責(zé) ?為制定和實施組織的風(fēng)險管理程序向個人或團隊分配職責(zé)。 216。 管理層應(yīng)當(dāng)定期審查所有政策。委員會成員應(yīng)當(dāng)了解信息系統(tǒng)部門的政策、程序和流程。 各種業(yè)務(wù)流程模型： ?增強型電信運營圖(eTOM －Enhanced Tele Operations Map) ?供應(yīng)鏈運營指引模型(SCOR －Supply Chain Operations Reference) ?IBM的保險應(yīng)用架構(gòu)IAA模型（Insurance Application A Architecture ） ?美國聯(lián)邦政府業(yè)務(wù)構(gòu)架模型FEA—Federal Enterprise Architecture B. 信息系統(tǒng)戰(zhàn)略 從信息系統(tǒng)角度看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來完善其業(yè)務(wù)流程而確定的發(fā)展方向及長期的計劃。 執(zhí)行管理層 ?制定有效的信息安全戰(zhàn)略、實施有效的安全治理指導(dǎo)委員會 ?為確保安全程序與業(yè)務(wù)目標的一致性提供持續(xù)的基礎(chǔ)，也是實現(xiàn)向有益于形成最佳安全文化的行為改變的手段。 ?績效測評– 衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART 目標（確定的、可度量的、可實現(xiàn)的、相關(guān)的和符合時間要求的）。 信息犯罪和惡意行為已成為越來越多的高級犯罪分子的選擇。 平衡記分卡的四個視角： ?財務(wù)視角—為使股東滿意，我們需要達到什么樣的財務(wù)目標？ ?客戶視角—為實現(xiàn)財務(wù)目標，我們需要服務(wù)什么樣的客戶？ ?過程視角—為了提高客戶和利益相關(guān)者的滿意度，我們需要建立什么樣的內(nèi)部業(yè)務(wù)過程？ ?學(xué)習(xí)視角—為了達成目標，組織應(yīng)當(dāng)如何學(xué)習(xí)與創(chuàng)新？ 為了把平衡記分卡應(yīng)用于IT，還應(yīng)使用一個三層構(gòu)架來描述其四個方面的評價要素： 216。IT治理框架和最佳實踐是由一系列組織結(jié)構(gòu)、流程及相關(guān)機制組成。 五個IT治理域： ?戰(zhàn)略一致 強調(diào)IT與業(yè)務(wù)保持一致，提供協(xié)調(diào)的解決方案。 公司治理可以驅(qū)動和調(diào)整IT 治理，同時，IT 能夠為公司治理提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分 216。通過經(jīng)濟、有效地使 用安全、可靠的信息和應(yīng)用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。第二章 IT治理與管理A. IT治理 l A1. 公司治理 指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機關(guān)（股東大會）、經(jīng)營決策與執(zhí)行機關(guān)（董事會、經(jīng)理）、監(jiān)督機關(guān)（監(jiān)事會）而形成權(quán)責(zé)明確、相互制約、協(xié)調(diào)運轉(zhuǎn)和科學(xué)決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機制； 公司治理強調(diào)企業(yè)中權(quán)力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責(zé)；為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負責(zé)。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注。公司治理和IT 治理都是“他律”機制，是如何“管好管理者”的機制，其目標也是一致的：達到業(yè)務(wù)持續(xù)運營，并增加組織的長期獲利機會。 ?價值交付 確保IT實現(xiàn)了預(yù)期戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提供IT的固有價值。 216。使命 ?成為首選的信息系統(tǒng)供應(yīng)商 ?經(jīng)濟、有效地交付IT應(yīng)用系統(tǒng)和服務(wù) ?IT投資能獲得一個合理的業(yè)務(wù)回報 ?抓住機遇應(yīng)對未來挑戰(zhàn) 216?？植婪肿雍推渌麛硨ι鐣娜艘彩褂肐T技術(shù)來宣揚他們的觀點并傳播其恐怖行為。 ?資源管理– 有效利用信息安全知識與基礎(chǔ)設(shè)施。 首席信息安全官 ?不管是專職的CISO還是由CIO、CTO等角色來兼任，組織應(yīng)當(dāng)在高級管理層設(shè)置首席信息安全官。 在制定戰(zhàn)略規(guī)劃過程中，最高管理層的職責(zé)包括確定成本有效的IT方案以解決該組織面臨的困難，并提出識別和獲取所需資源的行動方案。 每個成員應(yīng)當(dāng)在其負責(zé)的領(lǐng)域內(nèi)有權(quán)做出決定。政策也需要不斷更新，反映新的技術(shù)和經(jīng)營過程的重大變化，利用信息 技術(shù)提高生產(chǎn)效率和獲取競爭效益。 程序比相關(guān)政策更加易于變化，它們必須反映業(yè)務(wù)重點和環(huán)境的不斷變化。 ? 當(dāng)風(fēng)險管理計劃的主要職責(zé)由團隊負責(zé)時，其成功因素是把風(fēng)險管理與組織內(nèi)各個層級進行整合。 分級類型 定性分級程度 相對較粗的分級 低、中、高 詳細分級 可忽略、低、中、高、非常高 更詳細的分級 （低）0、……、10 （高） 216。聘用 216。 信息系統(tǒng)功能可以在全球范圍內(nèi)實現(xiàn)，以利用時區(qū)和勞動力價格方面的優(yōu)勢，主要方式有： ?本地型(Onsite)—員工工作在組織辦公場所中的信息系統(tǒng)部門內(nèi)； ?外地型(Offsite)—員工工作在同一個地理區(qū)域內(nèi)的遠程站點； ?離岸型(Offshore)—員工工作在不同地理區(qū)域內(nèi)的遠程站點； l決策資源配置方式的依據(jù) 是否為組織的核心職能？ 是否有滿足目標所需的不可替代的特有知識、流程和員工？ 外包給其他組織或地方的價格是否相同或更低？質(zhì)量是否相同或更高？是否未增加風(fēng)險？ 組織是否擁有管理第三方及使用遠程或離岸方式執(zhí)行IS或業(yè)務(wù)職能的經(jīng)驗？ l 外包實務(wù) 216。人員– 可能未考慮到所需的人力資源政策調(diào)整 216。 第二種方法是允許組織內(nèi)的審計師對供應(yīng)商進行定期審計。 外包治理是一系列責(zé)任、角色、目標、銜接和控制機制，用來預(yù)測變化及管理第三方服務(wù)的引入、維護、績效、成本和控制。 行業(yè)標準和基準 行業(yè)標準和基準為確定相同的信息處理設(shè)施環(huán)境所能提供的績效水平提供了一種方式。 信息系統(tǒng)預(yù)算應(yīng)當(dāng)與IT的短期計劃及長期計劃結(jié)合起來考慮 E5. 質(zhì)量管理 216。 績效指標的主要功能：衡量產(chǎn)品和服務(wù)、管理產(chǎn)品和服務(wù)、確保責(zé)任制、制定預(yù)算決策、優(yōu)化績效 ?績效優(yōu)化的工具COBIT管理指南－它是為了滿足IT 經(jīng)理進行績效評價的需求而設(shè)計的，它為IT的34個 主要流程定義了關(guān)鍵成功要素、關(guān)鍵目標指標、關(guān) 鍵績效指標和成熟度模型。授權(quán)表單（Authorization Forms ） 216。缺乏經(jīng)驗的員工 216。制定合同需求和服務(wù)水平 216。 IT治理關(guān)注確保IT向業(yè)務(wù)交付價值。 l 對于有著豐富